ページの先頭です
IIJ.news Vol.174 February 2023
セキュリティインシデント対策において早期検出が重要なことは言うまでもないが、現実的な観点から、攻撃が成功することを前提とした対策・体制も不可欠である。
IIJ セキュリティ本部
セキュリティビジネス推進部インテグレーション課
片岡 創
近年、ランサムウェアなどのサイバーセキュリティ被害が急増しており、「IIJ C-SOC(Security Operation Center)サービス」(以下、C-SOC)への問い合わせに加え、最近注目を集めているEDR(Endpoint Detection Response)への問い合わせも多くなっています。
EDRは、端末やサーバの動作を常時監視することで、発生したセキュリティインシデントを早期に検出できる製品です。端末やサーバの動作ログを大量に収集して、分析システムに送出し、ログを常時解析することで、端末で何が起こったのか把握できるようにします。
サイバー攻撃の手口が複雑かつ巧妙化する一方で、残念ながら防御の観点において完璧な対策はありません。よって、攻撃が成功することを前提とした対策・体制を整えておく必要があり、SOCによるEDR監視は、その1つの手段になり得ると考えています。送出されたEDRログを、SOCがリアルタイムに24時間365日、監視することでセキュリティインシデントの早期発見を可能にします。
セキュリティインシデントを検出したあとは、どういった対応をとるべきでしょうか? 該当端末の隔離措置、利用者へのヒアリング、サーバ/ネットワーク機器のログ調査、影響範囲の特定、取引先や警察への報告、恒久対策の検討・実施……等々、多岐にわたりますが、損害を最小限に抑えるために、平時からセキュリティインシデントに備え、準備しておくことが非常に重要です。
まず初動対応として感染拡大しないよう、感染端末を社内ネットワークから切り離す必要があります。物理的にケーブルを抜線することに加え、EDRに備わっているソフトウェアによる制御なども考慮して検討します。ケーブルは抜線したが、Wi-Fiが有効になったままだったなど、思わぬ抜け漏れがあったケースもあります。
次に事後調査できるよう、セキュリティ対策製品の棚卸と同時に、セキュリティ対策製品や認証サーバのログ保存期間および、どのようなログが出力される設定になっているかを確認しておく必要があります。さらに、根本原因の調査、影響範囲の特定のために、感染端末などで何が起きたのか、詳細に調べるフォレンジック調査が必要になる場合もあります。
調査の際は、感染した状態で環境を保存しなければならず、ハードディスクやメモリの内容を取得するツールを準備し、USBストレージなどに書き出します。
拠点が複数に分かれてIT担当者がいない場合は、実行手順書とともに各所に必要機材を配備するなど、定期的な訓練が必要な状況も想定されます。マルウェア感染に気づいて慌てて実施したアンチウィルスソフトによるフルスキャンが、重要な攻撃の痕跡を上書きしてしまい、あとで詳細調査ができなくなったなど、間違った対応をとると取り返しのつかないことになります。
セキュリティインシデント発生時の連絡先は、社内だけでなく、警察などの対外機関への報告も含め、どのような場合にどういった機関に連絡するのか、連絡先とともに定義しておくといいでしょう。
SOCによるEDR監視で早期検出を目指しつつ、平時・有事を問わず、日頃からセキュリティインシデント対応のための相談先を確保しておくことをお勧めします。
IIJでは、C-SOCのオプションメニューとしてインシデント対応支援を提供しています。ここで挙げた事項についてお客さまと協議しながらインシデント対応定義書を作成するとともに、情報セキュリティに関連するよろず相談や有事の際の対応方針について検討できる窓口を提供しています。
ページの終わりです